策略篇

高校網(wǎng)絡(luò)安全工作確實(shí)存在許多挑戰(zhàn)和困境，但在網(wǎng)絡(luò)安全已上升為國(guó)家戰(zhàn)略的今天，此項(xiàng)工作一定會(huì)得到越來(lái)越多的支持。

關(guān)于網(wǎng)絡(luò)安全不得不說(shuō)的三個(gè)要點(diǎn)

姜開(kāi)達(dá)

上海交通大學(xué)網(wǎng)絡(luò)信息中心信息安全負(fù)責(zé)人

疲于奔命的救火英雄和烈士不能當(dāng)

學(xué)校信息化部門(mén)如何面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)？重要的一點(diǎn)是，疲于奔命的救火英雄和烈士不能當(dāng)。

在過(guò)去的安全工作中，學(xué)校往往以安全漏洞和安全事件為中心，一直處于被動(dòng)應(yīng)急的局面，這種情況必須得到扭轉(zhuǎn)。長(zhǎng)遠(yuǎn)的建設(shè)方向還是應(yīng)該圍繞學(xué)校信息資產(chǎn)安全,以此來(lái)開(kāi)展一系列安全工作。我們要梳理清楚學(xué)校各類(lèi)信息資產(chǎn)，分門(mén)別類(lèi)，消除管理盲點(diǎn)。重要系統(tǒng)和次要系統(tǒng)的安全等級(jí)和安全投入顯然不能完全一致。系統(tǒng)地理順整個(gè)安全工作脈絡(luò)并建立完整的安全保障體系，我們才能始終掌握工作的主動(dòng)性。我們的角色不應(yīng)該是救火英雄，更不愿意成為光榮的烈士。

網(wǎng)絡(luò)安全建設(shè)要和信息化發(fā)展融為一體，借鑒成熟的網(wǎng)絡(luò)管理模式來(lái)理順信息系統(tǒng)資產(chǎn)安全管理。網(wǎng)絡(luò)安全管理制度必須要有，并且要踏踏實(shí)實(shí)落地并進(jìn)行有效監(jiān)督，而不能僅落在紙面。要靠信息化流程和規(guī)章制度來(lái)管理，同時(shí)也要有一系列技術(shù)措施來(lái)保障，不能靠個(gè)人力量來(lái)督促，也不能心存各種僥幸心理，要把安全責(zé)任分解到所有相關(guān)部門(mén)和人員身上，明確各自的管理邊界，只有權(quán)責(zé)明確才能確保學(xué)校安全長(zhǎng)治久安。

高校缺失安全力量是偽命題

各地一直在說(shuō)，信息安全人才缺失，工作難以開(kāi)展。我覺(jué)得這是一個(gè)偽命題。高校最不缺的就是人才，成千上萬(wàn)的學(xué)生都可以為我們所用，關(guān)鍵還是缺乏相應(yīng)的機(jī)制，缺乏有效組織和系統(tǒng)培養(yǎng)。高校對(duì)于安全人才要注重長(zhǎng)期培養(yǎng)，有條件的高校選拔相關(guān)專(zhuān)業(yè)學(xué)生，培養(yǎng)專(zhuān)業(yè)人才隊(duì)伍，參與學(xué)校網(wǎng)絡(luò)安全工作，彌補(bǔ)保障力量的不足。把學(xué)生引進(jìn)來(lái)，培養(yǎng)學(xué)生成為網(wǎng)絡(luò)安全管理中的一支輔助力量和宣傳隊(duì)伍，是雙贏的結(jié)果。參與校園網(wǎng)絡(luò)安全建設(shè)的過(guò)程中，他們對(duì)計(jì)算機(jī)領(lǐng)域會(huì)有更深入的理解。我們要做到：一是資源整合，機(jī)制創(chuàng)新，利用好高校自身安全力量。二是校企合作，引入民間力量，共同培養(yǎng)安全人才。三是加強(qiáng)國(guó)內(nèi)外行業(yè)交流合作。加強(qiáng)與國(guó)內(nèi)各安全機(jī)構(gòu)和組織間的順暢溝通，與百度、阿里、騰訊、360等互聯(lián)網(wǎng)公司和安全廠商推動(dòng)深度合作，在教育軟件廠商的協(xié)同參與下，共同提升學(xué)校自身安全能力。

打造網(wǎng)絡(luò)安全共同體

安全是一個(gè)長(zhǎng)期且動(dòng)態(tài)變化的過(guò)程，無(wú)法速成。學(xué)校要從行動(dòng)上真正重視網(wǎng)絡(luò)信息安全，國(guó)家和行業(yè)主管部門(mén)要加強(qiáng)安全監(jiān)管和服務(wù)，教育軟件廠商要承擔(dān)責(zé)任和更多義務(wù)，安全廠商要提供符合學(xué)校要求的專(zhuān)業(yè)化安全服務(wù)。只有各方共同努力，同舟共濟(jì)，互相合作才有教育行業(yè)安全的美好未來(lái)。

網(wǎng)絡(luò)安全的特點(diǎn)是攻防高度不對(duì)稱(chēng)。黑客可以單線作戰(zhàn)，一點(diǎn)突破，引發(fā)目標(biāo)全線崩潰。但作為防護(hù)的一方，全局體系任何一處都不能存在短板，一旦忽視被惡意利用，可能就是災(zāi)難性的后果。我們必須形成安全共同體。這個(gè)共同體中，自身安全能力提升自不待言，還要加強(qiáng)與地方網(wǎng)絡(luò)安全職能部門(mén)、專(zhuān)業(yè)機(jī)構(gòu)的合作，建立多方聯(lián)動(dòng)的監(jiān)測(cè)預(yù)警和應(yīng)急處置機(jī)制。推進(jìn)建立地區(qū)性的網(wǎng)絡(luò)安全協(xié)作聯(lián)盟，加強(qiáng)經(jīng)驗(yàn)交流與技術(shù)支持，技術(shù)能力較好的學(xué)校要為技術(shù)能力相對(duì)薄弱的學(xué)校提供安全咨詢(xún)和技術(shù)支援。共同體中不可或缺的還有專(zhuān)業(yè)的安全企業(yè)所提供的產(chǎn)品和服務(wù)。

在合作與外包過(guò)程中，高校信息化部門(mén)需要一個(gè)頂層設(shè)計(jì)的安全保障體系。我們必須意識(shí)到：長(zhǎng)期的安全持續(xù)服務(wù)重于一次性的安全產(chǎn)品投入。高校安全需要什么？不是軟硬件安全產(chǎn)品的堆砌、不是孤立的一個(gè)個(gè)系統(tǒng)建設(shè)、不是高等級(jí)的安全滲透測(cè)試，也不是一次次的救火應(yīng)急響應(yīng)，能帶來(lái)用戶(hù)安全感提升的業(yè)務(wù)才是好業(yè)務(wù)。我們的安全需求不限于：管理、制度、咨詢(xún)、規(guī)劃、人員、培訓(xùn)、系統(tǒng)、運(yùn)維、整改、應(yīng)急、演練、情報(bào)、服務(wù)等，互聯(lián)網(wǎng)在持續(xù)發(fā)展，這些對(duì)安全的需求內(nèi)容也一直在演變和進(jìn)步。

（責(zé)編：王左利）